Plusieurs vulnérabilités ont été découvertes dans jffnms, un système de gestion de réseau basé sur la Toile pour les réseaux IP. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Une vulnérabilité de script intersite dans auth.php permet à un attaquant
distant d'injecter du HTML ou un script web arbitraire par l'intermédiaire
du paramètre user
.
Plusieurs vulnérabilités d'injection de code SQL dans auth.php permettent à
des attaquants distants d'exécuter des commandes SQL arbitraires par
l'intermédiaire des paramètres user
et pass
.
Des requêtes directes d'URL rendent possible l'accès à des informations de configuration par des attaquants distants en contournant les restrictions d'identification.
Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 0.8.3dfsg.1-2.1etch1.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.8.3dfsg.1-4.
Nous vous recommandons de mettre à jour votre paquet jffnms.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.